基于時間約束的角色訪問控制研究

賀貝

（河南工業(yè)貿(mào)易職業(yè)學(xué)院 ，鄭州 450000）

0 引言

在一些組織中，通常需要通過周期的時態(tài)檢測來限制某些功能的時效。如，在一個公司內(nèi)可能會聘用臨時職員，公司只授予其在工作時間內(nèi)獲得權(quán)限，如從上午9點(diǎn)至下午3點(diǎn)，而在此之外的時間均不能獲得權(quán)限。但傳統(tǒng)的RBAC模型的訪問控制弱點(diǎn)在于沒有把操作主體執(zhí)行操作時所處的環(huán)境考慮在內(nèi)，且只要主體擁有對客體的訪問權(quán)限，主體就可以無數(shù)次使用該權(quán)限，這樣容易造成安全隱患。RBAC模型雖然實(shí)現(xiàn)了用戶和權(quán)限的邏輯分離，并遵循“最小特權(quán)原則”，但是非授權(quán)訪問并不是一種靜態(tài)行為，而是動態(tài)變化的。例如，盜用問題，某一盜用者在獲得賬號的權(quán)限后，為達(dá)到隱蔽的目的，并不是一直使用該賬號，而是間斷地或偶爾使用。經(jīng)典的RBAC模型沒有涉及與時間有關(guān)的約束，無法控制該非法訪問。因此必須引入時間約束來完善該模型。這在現(xiàn)實(shí)生活中也經(jīng)常用時間來約束行為的有效行使期限，達(dá)到一定的安全目的。比如教師更改學(xué)生考試成績只能在評卷給分期間操作，有效期過后則自然失效。因此，在很多類似的系統(tǒng)中，往往在一個安全措施上再增加時間約束，通過周期的時間檢測，限制某些功能的時效。尤其是具有時間周期特征或時間規(guī)律可以用周期的角色許可與非許可來描述的訪問控制方式，都可以用考慮到時間的RBAC模型來實(shí)現(xiàn)其角色的授權(quán)訪問。

1 角色訪問控制模型和時間約束的角色控制模型

1.1 RBAC模型概述

基于角色的訪問控制(Role-based Access Control，RBAC)技術(shù)出現(xiàn)于20世紀(jì)90年代，是一種很有潛力的訪問控制技術(shù)。其基本思想是：有一組用戶集和角色集，在特定的環(huán)境里，某一用戶被指定為一個合適的角色來訪問網(wǎng)絡(luò)資源；在另外一種環(huán)境里，這個用戶又可以被指定為另一個的角色來訪問另外的網(wǎng)絡(luò)資源，每一個角色都具有其對應(yīng)的權(quán)限，角色是安全控制策略的核心，可以分層，存在偏序、自反、傳遞、反對稱等關(guān)系。同時RBAC模型中的各種元素間還可以存在各種約束關(guān)系，包含互斥角色、基數(shù)約束、先決約束、會話約束、等級約束。這些豐富靈活的特性使得RBAC模型能很好地滿足大型系統(tǒng)對復(fù)雜權(quán)限管理的需求。

1.2 時間約束模型

基于時間約束模型(temporal role-based access control mo-del，TRBAC)的基本思想是在RBAC模型基礎(chǔ)上通過周期的時態(tài)檢測使角色處于許可和非許可狀態(tài)。我們可以定義其在工作時間內(nèi)的狀態(tài)為角色許可狀態(tài)，而在此之外的狀態(tài)為非許可狀態(tài)。許可與非許可角色是由時間來決定。我們稱一個用戶在一個會話中能夠激活的角色為一個許可角色(enabledrole)。這種角色許可、非許可之間的轉(zhuǎn)化是通過角色觸發(fā)器(roletriggers，RT)來控制的。角色觸發(fā)事件一旦產(chǎn)生則角色觸發(fā)器可以立即執(zhí)行，也可以在一個明確的說明時間內(nèi)進(jìn)行延遲。通過賦予許可與非許可活動的優(yōu)先級，來解決許可與非許可活動的沖突。

2 訪問控制模型比較關(guān)系及應(yīng)用環(huán)境

我們根據(jù)模型特點(diǎn)將RBAC模型產(chǎn)生以前的訪問控制模型與RBAC模型以及帶有時間約束的RBAC模型的關(guān)系及應(yīng)用環(huán)境描述如圖1所示。在很多實(shí)際應(yīng)用的系統(tǒng)中，往往需要在安全措施上再增加時間約束，通過周期的時間檢測，來限定某些功能的時效。特別是具有時間周期特征或時間規(guī)律角色許可與非許可來描述的訪問控制方式，都可以用帶有時間約束的RBAC模型來實(shí)現(xiàn)其角色的授權(quán)訪問。

圖1 三類模型的關(guān)系示意圖

3 設(shè)計(jì)和實(shí)現(xiàn)

3.1 時間約束的角色訪問控制系統(tǒng)的總體結(jié)構(gòu)

本系統(tǒng)分為部分構(gòu)成(下圖所示)：訪問控制服務(wù)器(access control server，ACS)、訪問請求過濾器(access filter server，A F S)、用戶角色及授權(quán)管理器(user and role and authorizationmanagement server，URAS)、角色觸發(fā)器(role trigger，RT)等安全服務(wù)器，用戶庫、角色庫、權(quán)限庫等訪問控制信息庫，以及管理控制臺。系統(tǒng)的執(zhí)行流程和各部分的功能介紹如下(圖中虛框內(nèi)部)：

1）用戶申請?jiān)L問安全子網(wǎng)的應(yīng)用服務(wù)器前首，先向身份認(rèn)證服務(wù)器驗(yàn)證自己的身份和確定角色。

2）身份認(rèn)證通過后，用戶以角色R向AFS提出應(yīng)用服務(wù)訪問請求，AFS收到請求后，取出報文中的命令，解釋對應(yīng)操作含義，以及執(zhí)行操作所需權(quán)限，同時從報文中取出用戶請求訪問的資源名稱。AFS把用戶的角色、時態(tài)約束、資源以及訪問所需的操作權(quán)限等組成的報文發(fā)送給ACS請求做出訪問決策，然后根據(jù)決策結(jié)果決定是否向應(yīng)用服務(wù)器提交用戶的請求。如果決策結(jié)果是否定的或者角色處于非許可狀態(tài)，AFS返回給用戶一個“操作失敗”或者“角色處于非許可”應(yīng)答報文。如果決策結(jié)果是肯定的，而且當(dāng)前角色處于許可狀態(tài)，AFS將訪問命令報文轉(zhuǎn)給真正的應(yīng)用服務(wù)器，并負(fù)責(zé)將服務(wù)器的執(zhí)行結(jié)果返回給用戶。

3）訪問控制器負(fù)責(zé)基于RBAC的訪問控制服務(wù)，包含各約束規(guī)則的驗(yàn)證。

4）角色觸發(fā)器負(fù)責(zé)對時態(tài)檢測，根據(jù)時態(tài)變化使角色處于許可/非許可的觸發(fā)轉(zhuǎn)換。

5）用戶/角色庫中保存管理員預(yù)先定義的角色集、每個用戶所屬的角色。權(quán)限庫存儲每個角色對可訪問資源的權(quán)限，包括是否可以訪問及執(zhí)行訪問操作。

6）角色及授權(quán)管理器與管理界面組成安全管理系統(tǒng)，為網(wǎng)絡(luò)安全管理員提供一個簡單的角色及其授權(quán)管理工具(圖2中小虛框內(nèi))。

3.2 系統(tǒng)表設(shè)計(jì)

圖2 訪問控制系統(tǒng)的總體結(jié)構(gòu)

前面我們構(gòu)建一個訪問控制系統(tǒng)的總體結(jié)構(gòu)，下面我們針對應(yīng)用給出系統(tǒng)表設(shè)計(jì)（以學(xué)校為例）。

3.2.1 基本表

用戶要進(jìn)入系統(tǒng)必須經(jīng)過身份認(rèn)證(用戶賬號和口令)，則首先建立一張校園網(wǎng)應(yīng)用系統(tǒng)用戶表；一個學(xué)校包含多個部門，基于部門級別建立一張部門表；部門下面的業(yè)務(wù)級別就對應(yīng)一張業(yè)務(wù)表，業(yè)務(wù)也就對應(yīng)著用戶的崗位職責(zé)，復(fù)合業(yè)務(wù)項(xiàng)應(yīng)將它的各個子基本業(yè)務(wù)項(xiàng)寫進(jìn)表中；然后為校園各部門建立相應(yīng)的業(yè)務(wù)角色，部門角色表完成此項(xiàng)功能；適應(yīng)系統(tǒng)需求建立一張合適的權(quán)限表；接著建一張用戶—角色表，將用戶映射成相應(yīng)的角色；再建一張角色—權(quán)限表，為各個角色分配相應(yīng)的數(shù)據(jù)訪問權(quán)限。

3.2.2 約束表

建立關(guān)于約束的表：角色層次關(guān)系表對應(yīng)模型中的角色層次，使父角色可以繼承子角色；建立角色互斥約束表，支持模型中角色互斥功能；建立功能權(quán)限互斥約束表，支持模型中動態(tài)互斥，即權(quán)限分配互斥約束。

3.2.3 時態(tài)約束表

時態(tài)約束表中主要實(shí)現(xiàn)角色許可裝置(role enabling baser)，由事件表示和角色狀態(tài)表示組成。

通過這些表的設(shè)計(jì)可以初步建立基于時間約束的RBAC的總體框架。

3.3 分析

上面應(yīng)用設(shè)計(jì)是一個簡化的設(shè)計(jì)，實(shí)際應(yīng)用中要復(fù)雜得多。而RBAC的一大優(yōu)點(diǎn)在于面對復(fù)雜應(yīng)用的靈活性和可擴(kuò)展性。在針對實(shí)際應(yīng)用中要結(jié)合相關(guān)的網(wǎng)絡(luò)技術(shù)，如認(rèn)證、防火墻、入侵檢測、及計(jì)費(fèi)策略等。畢竟我們的每一個應(yīng)用都是針對某一具體的問題，需要考慮實(shí)際應(yīng)用中的其他技術(shù)，因此在實(shí)際應(yīng)用中并不能排斥其它技術(shù)的功能。就上面的設(shè)計(jì)討論時間約束的具體需求的定義及時間粒度問題來說，賬號用戶許可時間的定義可以根據(jù)不同的崗位設(shè)置進(jìn)行定義：例角色某有效為1年從2008.8.8～2009.8.8，上班時間為上午9：00～15：00，那么可以通過觸發(fā)器中的設(shè)定來實(shí)現(xiàn)角色許可時間；至于時間的粒度問題的討論，假定周期的定義中假定以小時為時間粒度，如改變時間粒度(例如要將時間粒度設(shè)為分鐘)，只需周期表達(dá)式中的日歷進(jìn)行定義即可。時間粒度的粗細(xì)直接影響到系統(tǒng)的執(zhí)行效率，可視實(shí)際使用需求、系統(tǒng)代價、安全等級等具體情況決定時間粒度。

4 結(jié)束語

本文針對傳統(tǒng)的角色訪問控制中忽略時間條件的問題，提出了帶有時間約束的角色訪問控制策略，給出了具體解決方案：先給出了一個控制體系的總體結(jié)構(gòu)，后敘述性地給出了系統(tǒng)的表設(shè)計(jì)建議和關(guān)于角色時間約束以及粒度問題的分析。

[1] Ravi Sandhu,Edward Coyne,Hal Feinstein,et al.Role-based access control models[J].IEEE Computer,1996,29(2):38-47.

[2] Ferraiolo D,Sandhu R,Gavrila S,et al.A proposed standard for role-based access control[J].ACM Transactions on Information and System Security,2001,4(3):224-274.

[3] http://csrc.nist.gov/rbac/[EB/OL].

[4] 王帥,熊小華,朱彬.網(wǎng)格中基于角色的訪問控制模型研究[J].微計(jì)算機(jī)信息,2008,1-3:133-134.

[5] 李棟棟,譚建龍.基于本體的權(quán)限管理系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005,31(13):43-45.